セキュリティ

自工会/部工会サイバーセキュリティガイドラインとは?自動車サプライチェーンに求められるセキュリティ対策

#自動車業界#自工会ガイドライン#サイバーセキュリティ#サプライチェーン#経営者向け
📘
完全ガイドの一部です中小企業向けサイバーセキュリティ対策 完全ガイド

「取引先から突然、サイバーセキュリティガイドラインへの対応を求められた」 ― 自動車業界のサプライチェーンに関わる中小企業から、こうした相談が増えています。

本記事では、自工会/部工会サイバーセキュリティガイドライン(JAMA/JAPIAガイドライン)の概要、レベル構成、対応が求められる背景を解説します。

自工会/部工会サイバーセキュリティガイドラインとは

日本自動車工業会(JAMA)と日本自動車部品工業会(JAPIA)が共同で策定した、自動車産業におけるサイバーセキュリティ対策の指針です。

2020年3月に初版が公開され、その後改訂を重ねて2025年9月にV2.3が公開されています。

策定の背景

自動車産業はCASE(Connected・Autonomous・Shared & Services・Electric)の技術革新に伴い、ITの利活用が急速に進んでいます。同時に、サプライチェーンを狙ったサイバー攻撃も深刻化しています。

2022年には大手自動車部品メーカーがランサムウェア攻撃を受け、完成車メーカーの全工場が一時操業停止に追い込まれました。IPAの「情報セキュリティ10大脅威」でも「サプライチェーンや委託先を狙った攻撃」は7年連続でランクインしています。

こうした状況を受けて、自動車産業全体のセキュリティレベルを底上げするための共通の物差しとして本ガイドラインが策定されました。

対象範囲

本ガイドラインの対象は、自動車メーカーだけではありません。

  • 自動車メーカー(OEM)
  • Tier1〜Tier3の部品メーカー
  • 素材メーカー
  • 物流事業者
  • ソフトウェア開発会社
  • 自動車産業のサプライチェーンに関わるすべての企業

つまり、完成車メーカーと直接取引がなくても、サプライチェーンの一部として自動車産業に関わっている企業は対応が求められます。

ガイドラインの構成

37項目の要求事項と153項目の達成条件

ガイドラインは37項目の要求事項と、それに紐づく153項目の達成条件で構成されています。達成条件は3つのレベルに分かれており、企業の取り扱う情報の重要度に応じて目標レベルが異なります。

3つのレベル

レベル1: 自動車産業として最低限実施すべき項目

企業規模にかかわらず、自動車産業に関わるすべての企業が対応すべき項目です。全50項目。

レベル2: 自動車産業として標準的に目指すべき項目

顧客情報や取引先の技術情報を扱う企業向け。レベル1に加え、74項目。

レベル3: 自動車産業として到達点として目指すべき項目

機密度の高い情報を大量に扱う企業向け。レベル1・2に加え、29項目。

要求事項のカテゴリ

37項目の要求事項は、以下のカテゴリに分類されています。

ラベル1〜3: 方針・体制

  • セキュリティポリシーの策定
  • セキュリティ推進体制の構築
  • 守秘義務のルール策定

ラベル4〜9: 情報管理

  • 機密情報の管理
  • 情報機器のセキュリティ対策
  • ネットワーク接続の管理

ラベル10〜16: アクセス制御・認証

  • アクセス権管理
  • 認証機能の強化
  • 外部アクセスの管理

ラベル17〜21: 開発・運用

  • 脆弱性への対応
  • ウイルス対策
  • バックアップ・復旧

ラベル22〜27: インシデント対応・教育

  • インシデント対応手順
  • セキュリティ教育・訓練
  • 事業継続計画(BCP)

ラベル28〜37: 管理・監査

  • 委託先管理
  • セキュリティ監査
  • ログ管理

自己評価とチェックシート

ガイドラインにはチェックシートが付属しています。各企業はこのチェックシートを使って自社のセキュリティ対策状況を自己評価し、結果をJAMA/JAPIAに提出します。

2024年度の集計結果によると、レベル1・2では前年比で平均点が向上しており、産業全体のセキュリティレベルは底上げされつつあります。

自己評価の位置づけ

自己評価は毎年の提出が求められており、取引先からの要請で対応結果の共有を求められるケースも増えています。未対応の場合、新規取引の機会を逃したり、既存取引の継続に影響が出るリスクがあります。

中小企業にとっての課題

153項目は負荷が大きい

153項目のチェックシートを前にして「どこから手をつけてよいか分からない」という声は非常に多いです。特にIT専任者がいない中小企業にとっては、項目の意味を理解するだけでも大きな負担です。

セキュリティ人材がいない

自動車部品メーカーの多くは製造業であり、ITやセキュリティの専門知識を持つ人材を確保することが困難です。IPAの調査でも、中小企業の約半数がセキュリティ対策を「十分にできていない」と回答しています。

IT環境がレガシー

古いサーバーやサポート切れのOS、管理されていないVPN装置など、レガシーなIT環境がそのまま残っているケースが少なくありません。ガイドライン対応以前に、IT基盤の近代化が必要な企業も多いです。

まず何から始めるべきか

JAMA/JAPIAは「まず優先19項目から」と公式に案内しています。153項目すべてに一度に対応する必要はなく、レベル1の中でも特に重要度の高い19項目から着手するのが最も効率的です。

詳しい優先項目の内容と具体的な対策は、次の記事(自工会ガイドライン対応の始め方)で解説します。

自動車サプライチェーンのIT支援

情シス365では、自動車部品メーカー・サプライヤー向けのIT運用代行・セキュリティ対策を支援しています。

  • ガイドラインの読み解きと現状ギャップ分析
  • セキュリティポリシーの策定
  • アカウント管理・アクセス権の適正化
  • ネットワーク設計・VPN管理
  • ログ監視・インシデント対応体制の構築
  • チェックシートの自己評価支援

月額18万円〜の定額制で、IT専任者がいない企業のガイドライン対応を包括的に支援します。

製造業・自動車サプライヤー向けITサポートの詳細はこちら →

まずは60分無料相談をご利用ください。

🛡️Security365 — セキュリティ運用

脅威監視・アラート対応・ポリシー策定まで、月額定額でプロが支援。セキュリティ対策を「自分ごと」から「チーム体制」へ。

サービス詳細を見る → 60分無料相談

情シスのお悩み、ご相談ください

専門スタッフが貴社の課題に合わせたご提案をいたします。

60分無料相談はこちら 資料ダウンロード
メールでのお問い合わせはこちら →
60分無料相談